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Verfahren zum Ausfuhren einer gesicherten elektronischen Transaction 
unter Verwendung eines tragbaren Datentragers 



Die Erfindung geht aus von einem Verfahren nach der Gattung des 
5 Hauptanspruchs. Ein solches ist zum Beispiel aus dem „Handbuch der 
Chipkarten", W. Rankl, W. Effing, 3. Auflage, 1999, S. 692 bis703 unter dem 
Titel „Digitale Signatur" bekannt Zur Vornahme einer rechtsverbindlichen 
elektronischen Signatur soil danach eine digitale Signaturkarte eingesetzt 
werden, auf der sich ein geheimer Signaturschliissel befindet. Die Vornahme 

10 einer Signatur erfolgt an einem geeigneten Terminal, von dem die Karte ein 
zu signierendes Dokument in elektronischer Form erhalt. Um eine Signatur 
vornehmen zu konnen, mufi der Nutzer der Karte uber das Terminal seine 
Identitat nachweisen. Regelmafiig erfolgt dieser Nachweis durch Eingabe 
einer PIN (Personen-Identifikations-Nummer), welche mit einer in der Karte 

15 gespeicherten Ref erenz-PIN verglichen wird. Zukiinftig ist vorgesehen, die 
Nutzerauthentif izierimg durch Priifung eines biometrischen Merkmales, 
etwa eines Fingerabdruckes, vorzunehmen. Wurde ein elektronisches Do- 
kument nach erf olgreicher Authentif izierung des Nutzers mit Hilf e einer 
Signaturkarte signiert, kann es anschliefiend auf beliebige Weise weitergege- 

20 ben werden. Mit Hilfe der elektronischen Signatur wird es moglich, beson- 
ders sicherheitskritische Transaktionen, etwa die Erteilung von kostenbehaf- 
teten Dienstieistungsauftragen, auf elektronischem Wege durchzufQhren. 

Durch die beabsichtigte Einfiihrung biometrischer Merkmale zur Benut- 
25 zerauthentifizierung wird eine weitere Verbesserung der Vertrauenswiir- 
digkeit einer elektronischen Signatur gegeniiber der bislang iiblichen PIN- 
Autlientifizierung erreicht, weil dadurch sichergestellt ist, dalS eine Benut- 
zung der Signaturkarte nur in Anwesenheit einer def inierten, dazu berech- 
tigten Person erf olgen kann. 
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Der hierin verwirklichte Qualitatsunterschied hinsichtlich der Nutzerauthen- 
tifizierung f indet in der Nutzbarkeit der jeweils erzeugten elektronischen 
Signatur bislang jedoch keinen Niederschlag. 

5 Es ist Auf gabe der Erfindung, ein Verf ahren zum Ausfiihren einer gesicher- 
ten elektronischen Transaktion unter Verwendung eines tragbaren Datentra- 
gers anzugeben, das der Qualitat der durchgefiihrten Nutzerauthentifizie- 
rung Rechnung tragt. 

10 Diese Aufgabe wird gelost durch ein Verf ahren mit den Merkmalen des 

Hauptanspruchs. Die Aufgabe wird ferner gelSst durch einen tragbaren Da- 
tentrager, ein Terminal sowie ein System zur Durchfuhrung einer gesicher- 
ten elektronischen Transaktion gemafi den unabhangigen Anspriichen 20, 25 
und 30. 

15 

Erfindungsgemafi wird bei der Ausfiihrung einer Nutzerauthentifizierung 
von dem ausfiihrenden Datentrager eine Qualitatsinformation xiber die ein- 
gesetzte Authentifizierungsmethode erzeugt. Dieser Beleg wird dem Ergeb- 
nis einer von dem tragbaren Datentrager nachf olgend ausgefuhrten sicher- 

20 heitsbegriindenden Operation beigefugt. Fxir den Empfanger einer so gebil- 
deten Botschaft ist damit eindeutig erkennbar, auf welche Weise sich ein 
Nutzer vor Durchfuhrung der sichheitsbegriindenden Operation authentifi- 
. ziert hat. Damit erSffnet sich dem Empfanger die Moglichkeit, die Ausfiih- 
rung einer gesicherten Transaktion von der Qualitat der Nutzerauthentifizie- 

25 rung abhSngig zu machen. So kann etwa bei einer Geldborsenanwendung 
vorgesehen sein, dafi die Entnahme eines xmterhalb eines Grenzwertes lie- 
genden Geldbetrags von einem Konto nach PIN-Authentifizierung erfolgen 
kann, die Entnahme von uber dem Grenzwert liegenden Geldbetragen da- 
gegen nur nach Authentifizierung mittels eines biometrischen Merkmals. 
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Besonders vorteilhaft wird das erfindungsgemafie Verf ahren im Rahmen der 
elektronischen Signatur eingesetzt. 

In einer bevorzugten Ausfuhrungsf orm ist die Durchfuhrung der verschie- 
5 denen mCglichen Nutzerautlientifizierungsmethoden so gestaltet, dafi die 
Ausfuhnmgszwischenergebnisse der qualitativ niederwertigeren Methode 
nicht in einf acher Weise in Ausfuhrungszwischenergebnisse einer qualitativ 
hoherstehenden Methode uberfiihrt werden konnen. Damit wird erreicht, 
dafi eine Manipulation eines Authentifizierungsbeleges selbst dann nicht 
10 mfiglich ist, wenn einem unberechtigten Nutzer sowohl ein tragbarer Daten- 
trager wie eine zugehorige, niederwertige Authentisierungsinf ormation zur 
Verfiigung steht, d. h. wenn ein unberechtigter Nutzer beispielsweise einen 
tragbaren DatentrSger zusammen ixiit einer zugehorigen PIN besitzt 

15 Vorteilhaft werden weiter die bei der Durchfuhrung einer Nutzerauthentif i- 
zierung jeweils nicht eingesetzten Authentifizierungsmethoden fur die Dau- 
er der Authentifizierung gesperrt. 

Unter Bezugnahme auf die Zeichnung wird nachf olgend ein Ausftihrungs- 
20 beispiel der Erfindung naher erlSutert. 

Zeichnung 

Es zeigen: 

25 Figur 1 die Struktur eines Systems zur Vornahme einer digitalen 
Signatur, 

Figuren 2, 3 den Ablauf der Durchfuhrung einer digitalen Signatur als 
Hufidiagramm. 
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Figur 1 veranschaulicht die Grundstruktur eines Transaktionssystems zur 
Ausf iihrung einer gesicherten elektronischen Transaktion. Wesentliche Ele- 
mente der Struktur im Hinblick anf die Erfindung sind ein Hintergrundsy- 
stem 10, das fiber ein Datennetz 12 mit einem Terminal 14 verbxmden ist, ein 
5 tragbarer Datentrager 20, der von einem Nutzer 30 mitgefuhrt wird und zur 
Ausfiihrung einer sicherheitsbegriindenden Operation im Rahmen einer 
Transaktion eingerichtet ist, sowie ein Datensatz 40, der im Rahmen einer 
auszufuhrenden Transaktion sicher gehandhabt werden soli. 

10 Fur die gesicherte elektronische Transaktion wird im folgenden von einer 
Transaktion ausgegangen, welche die Erzeugung einer digitalen Signatur auf 
Seiten des Nutzers 30 erf ordert Eine solche Transaktion kann etwa die 
Durchfiihrung eines Bankgeschaftes sein, bei dem das Konto des Nutzers 30 
belastet wird. Die beschriebene LSsung ist aber nicht auf Transaktionen be- 

15 schrankt, die eine digitale Signatur erf ordern, sondern gundsatzlich in jeder 
Anwendung einsetzbar, bei der ein tragbarer Datentrager 20 von einem 
Terminal 14 zugefuhrte Datensatze 40 bearbeitet und an das Terminal 14 zu- 
riickgibt. 

20 Das Hintergrundsystem 10 steht stellvertretend fiir eine Einrichtung, welche 
die eigentliche Transaktion vornimmt, etwa die Bewegung von Geld zwi- 
schen zwei Konten oder die Einleitung einer Warenauslief erimg auf grund 
einer Bestellung. Das Hintergrundsystem 10 kann entsprechend ein komple- 
xes, aus vielen Einzelkomponenten bestehendes System sein oder auch, im 

25 Extremf all, ganzlich wegfallen. Ist die Transaktion eine Kontobewegungs- 
anwendung, wird das Hintergrundsystem 10 typischerweise durch eine 
Bankzentrale gebildet. 
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Das Datennetz 12 dient zum Austausch von Daten zwischen einem Terminal 
14 und dem Hintergrundsystem 10. Es kann jede beliebige physikalische 
Auspragungsf orm besitzen und beispielsweise durch das Internet oder ein 
Mobilfunknetz realisiert sein. 

5 

Das Terminal 14 bildet die nutzerseitige Schnittstelle des Transaktionssy- 
stems und verfugt hierzu tiber Wiedergabemittel 16, typischerweise in Ge- 
stalt einer Bildanzeige, sowie Eingabemittel 18, etwa in Gestalt einer Tasta- 
tur. Das Terminal 14 kann ein 6ffentlich zugangliches Terminal, etwa ein in 

10 einer Bank auf gestelltes Gerat oder ein im Privatbereich eines Nutzers 30 
befindliches Gerat, etwa ein PC oder ein Handy sein. Mit dem Datennetz 12, 
damit mit einem Hintergrundsystem 10 konnen ein oder mehrere Terminals 
14 verbunden sein, die dabei von unterschiedlicher Bauart sein konnen. Das 
Terminal 14 verfugt fiber eine Schnittstelle 19 zur Kommunikation mit einem 

15 tragbaren Datentrager 20. Die Schnittstelle 19 kann von beliebiger physikali- 
scher Ausfuhrung, insbesondere von einem kontaktbehafteten oder von eine 
beriihrungslos arbeitenden Typ sein. 

Das Terminal 14 besitzt f erner eine, im f olgenden als Sensor bezeichnete, 
20 Sensoreinrichtung 15 zur Erf assung eines biometrischen Merkmales eines 
Nutzers 30. Durch den Sensor 15 erf afibar sein konnen physiologische 
Merkmale, wie Gesichtsmerkmale, Merkmale des Auges oder Fingerabdriik- 
ke, oder verhaltensbasierte Merkmale wie etwa durch Stimme oder durch 
Schreibvorgange ausgedriickte Sprech- oder Schrif tsequenzen. In Fig.l ist ein 
25 als Sensor 15 Fingerabdrucksensor angedeutet. Der Sensor 15 kann zur Auf- 
nahme mehrerer verschiedener biometrischer Merkmale ausgebildet seirt 
Teil des Sensors 15 sind weiter Mittel zur Vorauswertung eines aufgenom- 
menen biometrischen Merkmales. Dabei werden die auf genommenen Infor- 
mationen reduziert und auf bestimmte, charakteristische Primarmerkmale 
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zuriickgefiihrt. Die verschiedenen Typen und die Durchfuhrung biometri- 
scher Authentifizierungsverf ahren sind beispielsweise in dem eingangs ge- 
nannten ,,Handbuch der Chipkarten", Kapitel 8.1.2, beschrieben 

5 Bei dem tragbaren Datentrager 20 handelt es sich beispielsweise urn eine 
Chipkarte, wie sie in gleichfalls dem „Handbuch der Chipkarten" ausfuhr- 
lich beschrieben ist. Figur 1 deutet fur den tragbaren Datentrager 20 insbe- 
sondere eine kontaktbehaftete Chipkarte mit einem Kontaktf eld 22 an, wel- 
ches eine zu der terminalseitigen Schnittstelle 19 korrespondierende Schnitt- 

10 stelle bildet. Ober die Schnittstellen 22, 19 erfolgt die Kommunikation zwi- 
schen Chipkarte 20 und Terminal 14. Aufier der Gestalt einer Chipkarte kann 
der tragbare Datentrager 20 beliebige andere Gestaltungen aufweisen und 
beispielsweise in einem vom Nutzer 30 getragenen Bekleidungsstiick oder 
einen vom Nutzer 30 mitgefuhrten Gebrauchsgegenstand realisiert sein. 

15 

Der tragbare Datentrager 20 besitzt einen integrierten Schaltkreis 24, welcher 
alle Hemente eines iiblichen Computers aufweist, insbesondere einen Mi- 
kroprozessor 25 sowie Speichermittel 26. Der Mikroprozessor 25 ist zur Aus- 
fuhrung einer sicherheitsbegriindenden Operation eingerichtet. Beispiels- 

20 weise ist er dazu eingerichtet, einen zugefuhrten Datensatz 40, der im fol- 
genden als elektronisches Dokument 40 bezeichnet wird, einem kryptogra- 
phischen Algorithmus zu unterwerfen, wobei er wenigstens einen geheimen 
Schliissel benutzt, der in den Speichermitteln 26 abgelegt ist. Der Mikropro- 
zessor 25 ist f erner dazu eingerichtet, weitere Funktionalitaten gemafi in den 

25 Speichermitteln 26 abgelegten Programmen zu realisieren. 



Der tragbare Datentrager 20 ist weiter zur Ausfiihrung wenigstens eines, 
zweckmafiig jedoch mehrerer verschiedener Nutzerauthentifizierungsme- 
thoden eingerichtet. Vorzugsweise unterstiitzt er wenigstens zwei im Hin- 



blick auf die Qualitat der Authentif izierung verschiedenwertige Authentifi- 
zierungmethoden. Zweckmafiig unterstutzt er zumindest eine wissensbasier- 
te Aumentifizierungmethode, etwa eine PIN-Prufung, sowie wenigstens eine 
biometxische Methode, in deren Rahmen ein am Terminal 14 zu prasentie- 

5 rendes biometrisches Merkmal des Nutzers 30 gepruft wird. Die biometri- 
sche Methode bildet hierbei die qualitativ hOherwertige, da sie die persbnli- 
che Anwesenheit des Nutzers (30) voraussetzt; bei der wissenbasierten Me- 
thode ist dies nicht gewahrleistet, das Wissen kann von einer unberechtig- 
tem Nutzer erlangt worden sein. Entsprechend sind in den Speichermitteln 

10 26 ziirnindest ein vom Nutzer 30 vorzulegendes Geheimnis, also etwa eine 
einem Benutzer 30 zugeordnete Referenz-PIN sowie wenigstens ein einem 
Benutzer 30 zugeordneter biometrischer Referenzdatensatz hinterlegt. 
Zweckmafiig kann vorgesehen sein, dafi der tragbare Datentrager 20 mehr 
als zwei Aumentifizierungsmethoden unterstutzt, insbesondere weitere 

15 biometrische Methoden Entsprechend sind in diesem Fall in den Speicher- 
mitteln 26 weitere Geheimnisse und/oder ReferenzdatensStze hinterlegt und 
ist der integrierte Schaltkreis 24 dazu eingerichtet, die weiteren Authentifi- 
zierungsmethoden durchzufuhren. 

20 Nachfolgend wird anhand der Figuren 2 und 3 die Ausfiihrung einer gesi- 
cherten elektronischen Transaktion unter Verwendung der in Figur 1 gezeig- 
ten Struktur beschrieben Als sicherheitsbegriindende Operation soil dabei 
ein elektronisches Dokument 40 signiert werden. 

25 Eingeleitet wird die Nutzung durch Erstellung eines elektronischen Doku- 
mentes 40 im Hintergrundsystem 10 oder im Terminal 14, Schritt 100. In der 
Regel geht der Erstellung ein auslOsender Dialog zwischen einem Nutzer 30 
und dem Hintergrundsystem 10 ttber das Terminal 14 voran. Spatestens 
wenn ein elektronisches Dokument 40 im Terminal 14 vorliegt, veranlafit 
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dieses den Start der Signaturanwendung, Schritt 102. Die Startveranlassung 
kann dabei automatisch durch das Terminal 14 oder das Hintergrundsystem 
10 erfolgen oder wird von dem Nutzer 30 eingeleitet, nachdem das Terminal 
14 diesen dazu mittels einer geeigneten Darstellung auf der Anzeigevorrich- 
5 rung 16 dazu aufgefordert hat. 

Nachdem die Signaturanwendung gestartet wurde, prSsentiert der Nutzer 
30 dem Terminal 40 einen geeigneten tragbaren Datentrager 2o, Schritt 104. 
Fur den tragbaren Datentrager 20 wird im f olgenden die Gestalt einer kon- 
10 taktbehafteten Chipkarte zugrunde gelegt. Weiter wird nachfolgend davon 
ausgegangen, dafi die Chipkarte 20 zwei Authentifizierungsmethoden unter- 
stiitzt, namlich eine PIN-PrGfung als wissensbasierte, quaHtativ niederwerti- 
ge Methode, sowie eine Fmgerabdruckprufung als biometrische, qualitativ 
hSherwertige Methode. 

15 

Hat das Terminal 14 die Anwesenheit einer Chipkarte 20 erkannt, fiihrt es 
zunachst eine wechselseitige Authentisierung mit dieser durch, Schritt 106, 
wobei zunachst die Chipkarte 20 dem Terminal 14 die ihre, anschliefiend das 
Terminal 14 der Chipkarte 20 seine Authentizitat nachweist. 

20 

Verlauft die Authentisierung erfolgreich, handeln Terminal 14 und Chipkar- 
te 20 dynamische Sitzungsschliissel aus, urn die weitere Kommunikation ge- 
sichert im sogenannten „Secure Messaging"-Modus fuhren zu kSnnen, 
Schritt 108. Wegen Einzelheiten zum Konzept des Secure Messagings sowie 
25 dynamischen Sitzungsschlusseln wird wiederum auf das „Handbuch der 
Chipkarten" verwiesen. . 

Anschliefiend erfolgt die Authentifizierung des Nutzers 30 gegeniiber der 
Chipkarte 20. Hierbei priift das Terminal 14 zunachst, auf welche Weise - 
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wissensbasiert, also durch Eingabe einer PIN oder biometrisch, d.h. durch 
Presentation eines Fingerabdruckes - die Aumentifizierung erfolgen soil, 
Schritt 110. Die Festlegung einer Aumentifmerungsmethode kann aufgrund 
von mit dem elektronischen Dokument 40 ubermittelten Informatiorien 
5 selbsttatig durch das Terminal 14 erfolgen, sie kann aber audi iiber die An- 
zeigevorrichtung 16 dem Nutzer 30 als Entscheidungsaufforderung vorge- 
legt werden Im letzteren Fall trifft den Nutzer 30 mittels der Eingabemittel 
18 eine Entscheidung. 

10 Soil die Authentifizierung des Nutzers 30 wissensbasiert, d.h. durch Eingabe 
einer PIN erfolgen, sperrt die Chipkarte 20 die weiteren mSglichen Authenti- 
fizierungsmethoden, d.h. die Fmgerabdruckprufung, Schritt 112, und fordert 
den Nutzer 30 iiber die Anzeigevorrichtung 16 auf, seine PIN fiber die Ein- 
gabemittel 18 einzugeben. 

15 

Der Nutzer 30 gibt daraufhin iiber die Eingabemittel 18 die PIN ein und das 
Terminal 14 leitet sie direkt oder abgewandelt iiber die Schnittstelle 19, 22 an 
die Chipkarte 20 weiter, Schritt 114. Die ttbermitdung der PIN bzw. der dar- 
aus abgeleiteten Information wie die nachfolgend Kommunikation mit der 
20 Chipkarte wird zusatzlich unter Verwendung der ausgehandelten Sitzungs- 
schlussel gesichert. Zweckmafiig erf olgt die gesamte Kommunikation zwi- 
schen Terminal 14 und Chipkarte 20 im Secure Messaging Modus. 

Diese priift die ubermittelte PIN und bestatigt im Gutf all dem Terminal 14 
25 die Korrektheit, bzw. bricht das Verfahren ab, wenn die PIN als f alsch ge- 
priift wurde, Schritt 116. 



1st der Gutfall gegeben, veranlafit das Terminal 14 die Chipkarte 20 durch 
entsprechend Befehle zur Durchfuhrung der sicherheitsbegriindenden Ope- 
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ration, d.h. der digitalen Signatur, und ubermittelt der Chipkarte 20 das zu 
signierende elektronische Dokument 40, Schritt 118. 

Die Chipkarte 20 signiert das zugefuhrte elektronische Dokument 40 mit 
5 dem in den Speichermitteln 22 gespeicherten geheimen Schlxissel, 120 und 
sendet die elektronische Signatur 40 zuriick an das Terminal 14, Schritt 122, 
welches damit die eingeleitete elektronische Transaktion weiterfuhrt. 

Ergibt die Prufung im Schritt 110, dafi die Authentifizierung des Nutzers 30 
10 nicht wissensbasiert sondern biometrisch erf olgen soil, leitet das Terminal 14 
eine Aumentifizierung gegen Prasentation eines biometrischen Merkmales 
ein und macht der Chipkarte 20 eine entsprechende Mitteilung, Schritt 130. 
Die Chipkarte 20 sperrt daraufhin die nun nicht eingesetzten weiteren Au- 
thentifizierungsmettioden, d.h. die wissensbasierten PIN-Prufung, Schritt 
15 132. 

Nachfolgend prasentiert der Nutzer 30 dem Terminal 14 entsprechend der 
eingesetzten Authentifizierungsmethode ein biometrisches Merkmal, d.h. 
einen Fingerabdruck, Schritt 134. Die Aufforderung zur Prasentation des 
20 Fingerabdrucks erfolgt vorzugsweise durch eine entsprechende Darstellung 
auf der Anzeigevorrichtung 16 des Terminals 14. Der Fingerabdruck wird 
durch den am Terminal 14 vorgesehenen Sensor 15 erfafit. 

Das erfafite biometrische Merkmal, d.h. den Fingerabdruck des Nutzers 30 
25 unterwirft das Terminal 14 einer Vorverarbeitung, in der es aus dem am Sen- 
sor 15 gewonnenen Signal bestimmte kennzeichnende Merkmale extrahiert, 
Schritt 136. Bei Verwendung eines Fingerabdrucks werden beispielsweise 
Primarmerkmale des „Klassifikationsverfahrens nach Henry" ermittelt, wie 
es in dem „Handbuch der Chipkarten" beschrieben ist. 
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Die extrahierten Merkmale ubermitteit das Terminal 14 fiber die Schrrittstelle 
19, 22 an den tragbaren Datentrager 20, Schritt 138. 

Nach Eingang dort fflhrt dieser eine Verif ikation der fibermittelten extrahier- 
ten Merkmale durch, Schritt 140. Hierbei vergleicht der integrierte Schalt- 
kreis 24 die erhaltenen extrahierten Merkmale mit den in den Speichermit- 
teln gespeicherten Referenzmerkmalen und priift, ob eine hinreichende 
Dbereinstimmmg vorliegt. 1st das der Fall, bestatigt der tragbare Datentra- 
ger 20 dem Terminal 14 die erfolgreiche Verifikation des flbermittelnden 
biometrischen Merkmales, Schritt 142. Weiter schaltet sich der tragbare Da- 
tentrager 20 zur Ausfuhrung der beabsichtigte sicherheitsbegriindenden 
Operation, d.h zur Vornahme einer digitalen Signatur, bereit. 

Nach Erhalt der Bestatigung iiber eine erfolgreiche Verifikation der Authen- 
tifizierung veranlafit das Terminal 14 den Datentrager 20 durch entspre- 
chende Befehle, die digitale Signatur auszufuhren, Schritt 144. Zusammen 
mit den Bef ehlen ubermitteit das Terminal 14 dem tragbaren Datentrager 20 
dabei das zu signierende elektronische Dokument 40 oder zumindest Teile 
davon. 

Der integrierte Schaltkreis 24 des tragbaren Datentragers 20 fuhrt daraufhin 
die zur Erstellung einer digitalen Signatur erforderlichen Operationen durch, 
Schritt 146. Typischerweise bildet er hierbei einen Hashwert iiber den erhal- 
tenen Teil des elektrordschen Dokuments 40 und verschliisselt diesen mit 
einem in den Speichermirteln 26 gespeicherten, geheimen Schliissel eines 
asymmetrischen, aus einem geheimen und eine 6ff entiichen Schliissel beste- 
henden Schliisselpaares. 
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Desweiteren bildet der integrierte Schaltkreis 24 eine Qualitatsinformation, 
Schritt 148, die quittiert, dafi die Aumentif izierung des Nutzers 30 unter 
Verwendung eines biometrischen Merkmales erf olgte. Diese Qualitatsinfor- 
mation wird sodann fest mit der erstellten digitalen Signatur zu einer Si- 
cherheitsbotschaft verknupft, zweckmafiig im Rahmen des „Secure Messa- 
ging" Mechanismus unter Verwendung der zuvor ausgehandelten Sitzungs- 
schlussel. 

Die so gebildete, aus digitaler Signatur und Qualitatsinformation bestehende 
Sicherheitsbotschaft sendet der tragbare Datentrager 20 zuriick an das Ter- 
minal 14, Schritt 150. Von hier wird die iibermittelte Sicherheitsbotschaft im 
Rahmen der ausgefuhrten gesicherten elektronischen Transaktion an den an 
der Transaktion beteiligten Empfanger, etwa ein Hintergrundsystem 10, wei- 
tergeleitet. 

Zusatzlich zu der durch den tragbaren Datentrager 20 vorgenommenen si- 
cherheitsbegriindenden Operation erhalt der Empfanger der Sicherheitsbot- 
schaft dabei durch die darin enthaltene Qualitatsinformation eine Angabe 
fiber die Qualitat der vorgenommenen Aumentifizierung des Nutzers 30. 

Im vorbeschriebenen Beispiel wurde eine Qualitatsinformation nur bei Ver- 
wendung einer biometrischen Authentifizierungsmethode erstellt, nicht bei 
Verwendung einer wissensbasierten Methode. Damit signalisiert bereits das 
Fehlen einer Qualitatsinformation die Verwendung einer qualtitativ nieder- 
wertigeren Methode. SelbsrverstandHchkann aber vorgesehen sein, dafi die 
Bildung einer Qualitatsinformation grundsatzlich erfolgt, d.h. unabhangig 
davon, ob zur Authentifizierung eine wissensbasierte oder eine biometrische 
Methode gewahlt wurde. 
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Unter Beibehaltung des grundlegenden Gedankens, dem Ergebnis einer von 
einem tragbaren Datentrager ausgeftihrten sicherheitsbegrundenden Opera- 
tion eine Qualitatsinf ormation iiber die Qualitat der zuvor durchgefOhrten 
Nutzerauthentifizierung beizufiigen, gestattet das vorbeschriebene Konzept 
weitere Ausgestaltungen und Abwandlungen. Dies gilt fur die Gestalrung 
des bei der Ausfuhrung einer Transition eingesetzten Systems, das mehr 
und Komponenten anderen Typs umfassenkann. Der beschriebene Verfah- 
rensablauf kann f erner weitere Schritte, etwa Zwischenschritte umf assen 
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PatPntanspruche 

1. Verfahren zurrt Ausfuhren einer gesicherten elektronischen Transaction an 
einem Terminal unter Verwendung eines tragbaren Datentragers, wobei ein 
Nutzer sich gegeniiber dem tragbaren Datentrager authentifiziert, der trag- 
bare Datentrager dem Terminal den Nachweis der Aumentifizierung besta- 
tigt und der tragbare Datentrager anschliefiend im Rahmen der elektroni- 
schen Transaktion eine sicherheitsbegriindende Operation ausf tihrt, 
dadurch gekennzeichnet, dafi der tragbare Datentrager (20) eine Qualitat- 
sinformation darttber erstellt, auf welche Weise die Authentifizierung des 
Nutzers (30) erfolgte und diese QuaUtatsinformation dem Ergebrds der si- 
cherheitsbegriindenden Operation beigefiigt wird. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dafi die durch den 
tragbaren Datentrager (20) ausgefuhrte sicherheitsbegriindende Operation in 
der Erstellung einer digitalen Signatur besteht. 

3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dafi die Authentifi- 
zierung des Nutzers (30) durch Presentation eines biometrischen Merkmales 
vorgenommen wird. 

4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dafi die Authentifi- 
zierung des Nutzers (30) durch Presentation eines fur einen Nutzer (30) cha- 
rakteristischen physiologischen oder verhaltensbasierten Merkmales vorge- 
nommen wird. 

5. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, dafi die Authenti- 
fizierung des Nutzers (30) durch Nachweis der Kenntnis eines Geheimnisses 
vorgenommen wird. 
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6. Verfahxen nach Anspruch 1, dadurch gekerinzeichnet, dafi fiir die Au- 
menufizierung des Nutzers (30) wenigstens zwei verschiedene Authentifi- 
zierungsmethoden von unterscWedlicher Qualitat angeboten werden. 

7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dafi die jeweils 
nicht eingesetzten Authentifizierungsmethoden gesperrt werden 

8. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dafi fur eine Au- 
thentifizierungsmethode keine QuaUtatsinf ormation erzeugt wird. 

9. Verfahren nach Anspruch 1 dadurch gekennzeichnet, dafi ein Nutzer (30) 
zur Auswahl einer Authentifizierungsmethode aufgefordert wird. 

10. Tragbarer Datentrager zur Ausfuhrung einer sicherheitsbegriindenden 
Operation im Rahmen einer gesicherten elektronischen Transaktion, wobei 
sich ein Nutzer gegeniiber dem tragbaren Datentrager authentif iziert und 
der tragbare Datentrager einem Terminal die Authentifizierung bestatigt, 
dadurch gekennzeichnet, dafi er dazu eingerichtet ist, eine QuaUtatsinf or- 
mation zu erstellen, welche angibt, auf welche Weise die Authentifizierung 
des Nutzers (30) durchgefuhrt wurde. 

11. Datentrager nach Anspruch 10, dadurch gekennzeichnet dafi der tragba- 
Datentrager (20) zur ErsteUung einer digitalen Signatur eingerichtet ist. 



re 



12. Datentrager nach Anspruch 10, dadurch gekennzeichnet dafi er wenig- 
stens zwei qualitativ verschiedene Authentifizierungsmethoden unterstiitzt. 

13. Terminal zur Verwendung in Verbindung mit einem tragbaren Datentra- 
ger nach Anspruch 9, dadurch gekennzeichnet, dafi es Mittel aufweist (16, 
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18) aufweist, urn einen Nutzer (30) zur Auswahl einer von wenigstens zwei 
mSglichen Authentifizierungsmethoden zu veranlassen 

14. System zur Ausfuhrung einer gesicherten elektronischen Transaktion, in 
deren Rahmen die Qualitat der Authentifizierung eines Nutzers gegeniiber 
dem System f estgestellt wird, umf assend einen tragbaren Datentrager nach 
Anspruch 10 sowie ein Terminal nach Anspruch 13. 
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Zusammenfassung 

Vorgeschlagen wird ein Verfahren zum Ausfiihren einer gesicherten elek- 
5 tronischen Transaktion an einem Terminal unter Verwendung eines tragba- 
ren Datentragers. Verfahrensgemafi authentifiziert sich zunachst ein Nutzer 
(30) gegentiber dem tragbaren Datentrager (20). Dabei erzeugt der tragbare 
Datentrager (20) eine QuaUtatsinformation dariiber, auf welche Weise die 
Authentifiziening erfolgte. Die Authentifizierung wird dem Terminal (14) 
10 bestatigt. Anschliefiend ftthrt der tragbare Datentrager (20) im Rahmen der 
Transaktion eine sicherheitsbegriindende Operation aus, beispielsweise die 
Erstellung einer digitalen Signatur. Dem Ergebnis der sicherheitsbegriin- 
denden Operation fiigt er die Qnalitatsinformation bei. 
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